安全测试AppScan--使用教程

前提:预先安装好AppScan工具,我的版本是9.0.3.7

 

1.新建扫描,一般选择 常规扫描,文件--新建 或者 ctrl+N;

2.扫描配置向导,第一种为web扫描,第二种是app扫描需要设置代理,下一步;

 3.输入想要测试的URL,会自动检测是否连接到服务器,下一步;

 4.有两个地方要注意一下,登录方法 记录 和  尚未记录登录

 测试web没有验证码情况下,可以使用(“记录”和“自动”登陆方法);

 有验证码情况下,可以使用“提示”登陆方法;

 推荐使用“记录”方法;

 ①点击记录进入,选择Appscan ie浏览器(推荐),会打开设置一个刚刚设置需要测试的URL地址,进行记录登录账号、密码操作;

登录成功后,点击【我已登录到站点】,AppScan会开始分析(需要一会儿),然后记录登录操作,会执行注销操作。

 

 

 记录成功后,自动返回到登录管理,此时状态会显示基于操作的登录;下一步

 

 

5.几种测试策略说明

缺省值:该策略包含所有测试,但侵入式和端口侦听器测试除外;

仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器;

仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器;

侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试);

完成:该策略包含所有 AppScan 测试,但端口侦听器测试除外;

关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用;

开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用;

仅第三方:该策略包含所有第三方级别测试,但侵入式和端口侦听器测试除外;

生产站点:此策略“排除”可能损坏站点的侵入式测试,或测试可能导致“拒绝服务”的其他用户;

Web Services:该策略包含所有 SOAP 相关的非侵入式测试;

 

选择合适的策略后,下一步

 

 

 6.完成,选择启动全面自动扫描,完成

 

 7.扫描测试完成后,会将结果呈现,包括一些高、中、低风险问题,需要开发人员处理;

 8.导出保存报告;

posted on 2020-09-18 15:31  bug无处不在  阅读(1209)  评论(0编辑  收藏  举报